タイ財務省(Ministry of Finance)は、バーチャルバンク事業(Virtual Bank Business)を行うためのライセンスの申請および発行に関する基準、方法、条件に関する通知を発行し、2024年3月4日に官報に掲載した。この通知により、テクノロジー、デジタルサービス、多様なデータ利用分野の（将来、指定される資格も含む）資格を有する専門家が、新しいデジタルチャネルを通じて金融サービスを提供するためのバーチャルバンクのライセンスを申請する機会が開かれることになる。主な目標は、従来のバンクシステムでは十分な金融サービスを受けられない可能性のある者の金融ニーズに応えることである。 認可のタイムライン 申請期間:　6月(2024年3月20日～2024年9月19日)。 合格者の発表:　2025年半ば(申請期間終了後約9ヵ月～1年) 合格者は、発表後1年以内にバーチャルバンク事業を開始する準備が整っていることを以下の方法で証明する必要がある。 払込済み登記資本金50億タイバーツを有し、事業開始後に払込済み登記資本金を100億タイバーツ以上に増やす計画があること 金融事業グループの設立または適正化 人材、ITシステムおよび関連するリスク管理ツールの調達 発行予定ライセンス数 タイ中央銀行 (BOT: Bank of Thailand) の裁量により、特定の制限は規定されていない。 主な応募資格 応募資格は以下の点を有していることである。 ビジネスモデルおよび計画に従ってバーチャルバンキング業務をサポートする経験およびリソース テクノロジーを活用し、デジタルチャネルを通じてサービスを提供するビジネスを実施するための専門知識および経験 データの取得、アクセス、管理、および活用する能力を実証した経験（これには、ユーザーの活動を容易にし、他のプロバイダーとの取引を行うためにデータを使用できるようにするためのシステムまたはデータ接続の開発が含まれる） 基準 バーチャルバンクライセンスの申請者の資格を評価する際に、BOTは以下の基準を考慮する。 申請者が主要な応募資格を有していること 申請者がBOTの想定するグリーンライン(すなわち、金融サービスが、顧客のニーズ、優れた顧客満足度、公正な競争を満たしていること)に従い、かつ、レッドライン(持続不可能な事業運営、不適切な競争、利害関係者の利益相反)を回避して業務を遂行できること 申請者が、柔軟性、持続性、安全性、信頼性の高い技術を使用してバーチャルバンク業務を運営する可能性および能力；知識、スキル、適切なガバナンス；リスク管理能力、金融業務能力、リスク軽減の強力な文化の維持能力；株主からの地位および金融支援；を有していること バーチャルバンクまたはその他の金融テクノロジーに関するタイの規制の詳細については、Athista (Nop) Chitranukroh ([email protected]) 、Pornpan Wichawut ([email protected]) 、またはRada Lamsam ([email protected]) までお問い合わせください。   備考：本和文は英文記事を翻訳したものです。原文については、以下のリンクをご参照ください。 Thailand Unveils Virtual Bank Licensing Framework

タイの国家サイバーセキュリティ委員会（NCSC : National Cyber Security Committee）は、2024年1月18日にサイバーセキュリティ法に基づく3つの通知を発表し、主要な組織と資産に対するサイバーセキュリティ関連の要件を設定した。これらの通知のうち1つは既に施行されているが、最も注目すべき2つは2025年1月18日（すなわち、官報に掲載された日から1年間した日）に施行する。 これら２つの通知は、NCSC Notification Re: Standards for Defining the Security Category for Data or Information Systems B.E.2566（2023）（「データ・情報システムのセキュリティカテゴリに関する通知」）とNCSC Notification Re:　Minimum Standards for Data and Information Systems B.E.2566（2023）（「データ・情報の最低基準に関する通知」）である。 これらの通知は次の場合に適用される。 国家機関 監督又は規制機関（すなわち、国家機関、民間機関、あるいは、国家機関又は重要な情報基盤組織の業務を規制又は監督するために法律によって指定された個人） 重要情報基盤組織（すなわち、国家安全保障、重要な公共サービス、銀行及び金融、情報技術及び電気通信、輸送及び物流、エネルギー及び公益事業、並びに公衆衛生に関連する又はこれらを提供する組織） 上記は、通知の下でまとめて「組織」として定義される。 セキュリティカテゴリに関する通知 セキュリティカテゴリに関する通知は、「組織」のデータ又は情報システムのリスクベースのセキュリティ分類、つまり「セキュリティカテゴリ」を示している。 セキュリティカテゴリの評価のために、組織は、3つの主要なセキュリティ目標（つまり、機密性(confidentiality)、完全性(integrity)、可用性(availability)）に基づいて、データ・情報システムの自己評価を実行することが要求される。これらの各目標は、以下の分野における潜在的影響の評価を考慮して、さらに3つのリスクレベル（低、中、高）に分類される。 組織の財務的価値又は評判 組織のサービス利用者数 組織の職務遂行能力 国家の安定又は公の秩序 ３つの目的のリスクレベルは、以下に説明するように、「最小限(minimal)」、「重度(severe)」、又は「深刻(serious severe)」に影響があるかどうかを考慮して決定される。 機密保持（異なる基準に従って「機密」として分類されるデータは含まれない）：データの不正開示が組織の評判や財務的価値に及ぼす影響 完全性:データの不正な変更又は破壊が組織のパフォーマンスに及ぼす影響 可用性:データ・情報システムにアクセスできない、又は使用できないことが組織のパフォーマンスに与える影響 組織のシステムが異なるカテゴリのデータを扱う場合、組織は、各タイプを評価し、特定された最も高いリスク・レベルに基づいてセキュリティカテゴリを設定しなければならない。 セキュリティカテゴリは、少なくとも3年に1回見直しを行い、その結果を適切に記録すべきである。 最低基準に関する通知 セキュリティカテゴリが決定された後、組織は、最低基準に関する通知に規定された最低限のサイバーセキュリティ対策を適用する責任を負う。これらの対策の概要を次の表に示し、各セキュリティカテゴリの最低限のサイバーセキュリティ対策に必要な項目を示す。 サイバーセキュリティ法にの詳細については、Athistha (Nop) Chitranukroh ([email protected]), Nopparat Lalitkomon ([email protected]), Napassorn Lertussavavivat ([email protected]), 又はRada Lamsam ([email protected])までお問い合わせください。   備考：本和文は英文記事を翻訳したものです。原文については、以下のリンクをご参照ください。 Thailand Lays Out New Cybersecurity Standards

2023年12月25日、タイの個人データ保護委員会 (PDPC: Personal Data Protection Committee) は、2019年個人データ保護法 (PDPA: Personal Data Protection Act) の第28条および第29条に基づき、個人データの越境移転に関する重要な側面と基準について言及した二つの通知を発行した。これらの通知は2024年3月24日に施行される予定である。 通知の要点は以下の通りである。 適切なデータ保護基準 (第28条) PDPAによって別段の定めがない限り、移転された個人データを受け取る移転先の国または国際機関は、以下の要因によって決定される 「適切なデータ保護基準」 を有していなければならない。 法的措置と仕組み：移転先の国または国際機関は、タイの個人データ保護法に沿った法的措置または仕組みを有していなければならない。具体的には、データ管理者の義務には、適切なセキュリティ措置の提供、適切でデータ主体の権利の行使を可能にする個人データ保護措置の実施、効果的な法的救済措置の確立が含まれる必要がある。 規制当局：個人データ保護に関する法令を執行する義務と権限を委任された機関または組織の存在も重要な要素である。 さらに、この通知により、PDPC事務局(Office of the Personal Data Protection Committee)は、独自に特定された、またはデータ管理者によって提出された事件を、PDPCに付託して裁定を求める権限を与えることになる。PDPCは、事件ごとに決定を下したり、適切なデータ保護基準を有していると考えられる相手国または国際機関のリストを作成したりする裁量権を有することになる。 拘束力のある企業規則と適切な保護措置 (第29条) グローバルなデータ交換の分野では、個人データの安全かつ準拠した転送を可能にする主要なメカニズムとして、次の2つが存在する。 拘束力のある企業規則 (BCR: Binding Corporate Rules) ：BCRの実施には、事業を共同で運営するために、関連事業間または同一企業グループ内で転送される個人データを保護するための承認されたポリシーの実施が含まれる。 適切な保護措置：適切な保護措置は、個人データを保護するだけでなく、データ主体の権利を行使し、効果的な法的救済措置を含めることも可能である。これらの保護措置は、標準的な契約条項など、さまざまな形式をとることができる。 データの越境移転のための効果的なメカニズムと見なされるためには、BCRと適切な保護措置の両方が次のことを行う必要がある。 個人データ保護法を遵守し、職員、従業員、スタッフ、個人データのその他の送信者/譲渡者および受信者にに関連するその他の者を拘束しながら、法人、自然人、データ処理者、送信者/譲渡者、個人データの受信者を含むすべての関係者に対して法的有効性と法的強制力を維持すること； 外国に送信または移転された個人データに関する個人データ保護、データ主体の権利、および苦情の申し立てを認識すること;および 個人データ保護法の下で制定された一連の下位規則に記述されているような、個人データ保護法および法律で規定された最低基準を遵守する個人データ保護対策とセキュリティ対策を提供すること「参考First Set of Subordinate Regulations Enacted for Thailand’s PDPA – Tilleke & Gibbins」 適切なデータ保護基準に関する決定がない場合、またはBCRが存在しない場合、適切な保護措置が実施されていれば、個人データの越境移転は許容される。この実施は、以下のいずれかの形式をとることができる。 標準契約条項 (SCC: Standard contractual clauses)、特にデータの越境移転の文脈において、法的合意を確立するための基本的な枠組みとして機能する標準契約条項 この点に関して、タイは現在、タイモデルと海外モデルという2つの異なるSCCモデルを受け入れている。それぞれのモデルの具体的な規定と適用 (必要に応じてどちらを採用してもよい) を以下の表に要約する。 PDPCによって決定される承認された基準に従った適切な保護措置の実施の証明 これには、通知に規定された個人データ保護の内容が含まれていなければならない。 タイの国家機関と、相互に個人データを移転する外国の国家機関との間で法的拘束力と執行力を持つ法令または協定 国境を越えた個人データの移転に関するタイの要件、またはPDPAの遵守に関するあらゆる側面の詳細については、Athistha (Nop) Chitranukroh ([email protected]) 、Nopparat Lalitkomon ([email protected]) 、Gvavalin Mahakunkitchareon ([email protected]) 、Thammapas Chanpanich ([email protected]) 、Punyavee Koaysomboon ([email protected]) までお問い合わせください。   備考：本和文は英文記事を翻訳したものです。原文については、以下のリンクをご参照ください。 Thailand Unveils Regulations for Cross-Border Personal Data Transfer

タイの個人情報保護委員会（PDPC）は、データ管理者がデータ主体の同意を得て必要な情報をデータ主体に通知する際に従うべき個別のガイドラインを発表した（個人データの収集、使用、又は開示に関するもの）。同ガイドラインに従うことで、データ管理者は個人情報保護法 B.E.2562（2019）（PDPA）に違反するリスクを軽減できる。 「個人情報保護法に基づくデータ主体からの同意の取得に関するガイドライン」及び「個人情報保護法に基づくデータ主体からの個人情報収集時における目的及び内容の通知に関するガイドライン」が2022年9月7日に公表された。   同意ガイドライン PDPCの同意取得に関するガイドラインには、同意が有効とみなされるための要件が記載されている。これらの要件には、同意依頼のタイミング、同意依頼に含める必要がある要素、及び同意依頼の性質に関する規定が含まれる。 例えば、同意は、個人データの取得前又は取得時に得なければならず、データ主体は、とりわけ、個人データの取扱いの目的及び詳細の両方について知らされなければならない。そして、データ主体が同意を与える際には、データ主体の明確で肯定的な行為が存在しなければならない。 未成年者からの同意の取得は、より厳格な要件の対象となり、データ管理者は、未成年者に関する個人情報を収集する際に、適切な本人確認及び年齢確認措置を実施する必要がある。このガイドラインでは、未成年者の年齢に応じて、10歳から20歳までと10歳未満に分けて、二種類の要件を定めている。大まかに言って、10歳から20歳までは、すべての状況において親の同意が必要とされるわけではないが、10歳未満は、親が代理して同意することが必要となる。 無能力者又は無能力者に準じる者は、必ず法定後見人の同意が必要となる。   通知ガイドライン 個人データを収集する際のデータ主体への通知に関するガイドラインは、公平性と利用目的の制限という2つの重要な原則を定めている。 公平性の原則のためには、データ管理者が明確かつ理解しやすい文言及び用語を使用すること、収集の前又は収集時にデータ処理に関する適切な目的、結果及びその他の関連情報を個人情報主体に通知することが必要である。本通知ガイドラインはさらに、データ管理者が個人データを取り扱う際に依拠する法的根拠、及び個人データの国境を越えた移転に関する詳細を通知に含めるべきであることを明確にしている。 利用目的を限定するという原則のためには、一般にプライバシーポリシーと呼ばれる通知が、明確、具体的で、合法的であることが必要である。 本ガイドラインは、プライバシーポリシーの形式に関してはフレキシブルである。プライバシーポリシーの提供は、書面でも口頭でもよく、提供手段は、様々な物理的手段、電気通信手段又は電子的手段でもよい。プライバシーポリシーへのアクセスにリンクを用いることも許容される。 データ主体自身以外の情報源から個人情報を収集する場合、データ保護に対するインパクトの評価を行うべきである。特に、データ主体が個人情報の収集について認識していない場合、若しくはデータ主体が同意しなかった場合、又はデータ管理者が大量の個人データを処理する際に新技術を使用する場合は、その評価を行うべきである。   同意依頼書及びプライバシーポリシー データ管理者が各分野の規制当局（例:タイ中央銀行、証券取引委員会事務局、保険委員会事務局など）の下で特定の法律の適用を受ける場合、そのデータ管理者は、その法律で規定されている標準フォームを採用しなければならない。規定された標準フォームがない場合、データ管理者は、PDPCガイドラインの規定を遵守する際に、業界団体が推奨する標準フォームを使用することができる。   Tilleke & GibbinsのPDPAチームによる本ガイドラインに関する詳細情報、又はPDPA要件への準拠については、以下の執筆者までお問い合わせください。   備考：本和文は英文記事を翻訳したものです。原文については、以下のリンクをご参照ください。 Thailand Issues Guidelines on PDPA Consent and Notification Requirements